Empat kerentanan telah diidentifikasi dalam komponen Realtek SDK, yang digunakan oleh berbagai produsen perangkat nirkabel dalam firmware mereka, yang memungkinkan penyerang yang tidak diautentikasi mengeksekusi kode dari jarak jauh pada perangkat dengan hak istimewa yang lebih tinggi. Menurut perkiraan awal, masalah tersebut mempengaruhi setidaknya 200 model perangkat dari 65 pemasok berbeda, termasuk berbagai model router nirkabel Asus, A-Link, Beeline, Belkin, Buffalo, D-Link, Edison, Huawei, LG, Logitec, MT- Tautan, Netgear, Realtek, Smartlink, UPVEL, ZTE dan Zyxel.
Masalahnya mencakup berbagai kelas perangkat nirkabel berdasarkan SoC RTL8xxx, mulai dari router nirkabel dan amplifier Wi-Fi hingga kamera IP dan perangkat kontrol pencahayaan pintar. Perangkat berdasarkan chip RTL8xxx menggunakan arsitektur yang melibatkan instalasi dua SoC - yang pertama menginstal firmware pabrikan berbasis Linux, dan yang kedua menjalankan lingkungan Linux terpisah dengan implementasi fungsi titik akses. Pengisian lingkungan kedua didasarkan pada komponen standar yang disediakan oleh Realtek di SDK. Komponen ini juga memproses data yang diterima sebagai hasil pengiriman permintaan eksternal.
Kerentanan mempengaruhi produk yang menggunakan Realtek SDK v2.x, Realtek “Jungle” SDK v3.0-3.4 dan Realtek “Luna” SDK sebelum versi 1.3.2. Perbaikan telah dirilis dalam pembaruan Realtek "Luna" SDK 1.3.2a, dan patch untuk Realtek "Jungle" SDK juga sedang dipersiapkan untuk dipublikasikan. Tidak ada rencana untuk merilis perbaikan apa pun untuk Realtek SDK 2.x, karena dukungan untuk cabang ini telah dihentikan. Untuk semua kerentanan, prototipe eksploitasi yang berfungsi disediakan yang memungkinkan Anda mengeksekusi kode Anda di perangkat.
Kerentanan yang teridentifikasi (dua yang pertama diberi tingkat keparahan 8.1, dan sisanya - 9.8):
- CVE-2021-35392 - Buffer overflow dalam proses mini_upnpd dan wscd yang mengimplementasikan fungsionalitas “WiFi Simple Config” (mini_upnpd memproses paket SSDP, dan wscd, selain mendukung SSDP, memproses permintaan UPnP berdasarkan protokol HTTP). Penyerang dapat mengeksekusi kodenya dengan mengirimkan permintaan “SUBSCRIBE” UPnP yang dibuat khusus dengan nomor port yang terlalu besar di kolom “Callback”. BERLANGGANAN /upnp/event/WFAWLANConfig1 HTTP/1.1 Host: 192.168.100.254:52881 Panggilan balik: NT:upnp:acara
- CVE-2021-35393 adalah kerentanan pada penangan WiFi Simple Config yang terjadi saat menggunakan protokol SSDP (menggunakan UDP dan format permintaan mirip HTTP). Masalah ini disebabkan oleh penggunaan buffer tetap sebesar 512 byte saat memproses parameter "ST:upnp" dalam pesan M-SEARCH yang dikirim oleh klien untuk menentukan keberadaan layanan di jaringan.
- CVE-2021-35394 adalah kerentanan dalam proses MP Daemon, yang bertanggung jawab untuk melakukan operasi diagnostik (ping, traceroute). Masalahnya memungkinkan penggantian perintah sendiri karena kurangnya pemeriksaan argumen saat menjalankan utilitas eksternal.
- CVE-2021-35395 adalah serangkaian kerentanan pada antarmuka web berdasarkan server http /bin/webs dan /bin/boa. Kerentanan umum yang disebabkan oleh kurangnya argumen pemeriksaan sebelum meluncurkan utilitas eksternal menggunakan fungsi system() diidentifikasi di kedua server. Perbedaannya hanya terletak pada penggunaan API yang berbeda untuk serangan. Kedua penangan tersebut tidak menyertakan perlindungan terhadap serangan CSRF dan teknik “DNS rebinding”, yang memungkinkan pengiriman permintaan dari jaringan eksternal sambil membatasi akses ke antarmuka hanya untuk jaringan internal. Proses juga default ke akun supervisor/supervisor yang telah ditentukan sebelumnya. Selain itu, beberapa stack overflow telah diidentifikasi di penangan, yang terjadi ketika argumen yang terlalu besar dikirim. POST /goform/formWsc HTTP/1.1 Host: 192.168.100.254 Panjang Konten: 129 Tipe Konten: application/x-www-form-urlencoded submit-url=%2Fwlwps.asp&resetUnCfg=0&peerPin=12345678;ifconfig>/tmp/1 ;&setPIN=Mulai+PIN&configVxd=mati&resetRptUnCfg=0&peerRptPin=
- Selain itu, beberapa kerentanan lainnya telah diidentifikasi dalam proses UDPServer. Ternyata, salah satu permasalahan tersebut telah ditemukan oleh peneliti lain pada tahun 2015, namun belum sepenuhnya diperbaiki. Masalah ini disebabkan oleh kurangnya validasi argumen yang diteruskan ke fungsi system() dan dapat dieksploitasi dengan mengirimkan string seperti 'orf;ls' ke port jaringan 9034. Selain itu, buffer overflow telah diidentifikasi di UDPServer karena penggunaan fungsi sprintf yang tidak aman, yang juga berpotensi digunakan untuk melakukan serangan.
Sumber: opennet.ru